Embed Size (px)
Citation preview
Решение ViPNet по обнаружению и предотвращениюкомпьютерных атак
www.infotecs.ru
СОСТАВ РЕШЕНИЯ
ViPNet TIASсистема интеллектуального анализа событий и автоматического выявления инцидентов ViPNet IDS MCцентрализованная консоль управления компонентами решения
ViPNet IDS NSсистема обнаружения вторжений уровня сети
ViPNet IDS HSсистема обнаружения вторжений уровня узла
ViPNet IDS NS
ViPNet IDS MC
Внешнийтрафик
Экспертные данные и дополнительные сервисы
АгентViPNet IDS HS
Маршрутизатор
SPAN
Proxy/NAT
АгентViPNet IDS HS
SYSLOG
REST API
Внутренний трафик
Внутреннийконтролируемый сегмент Внешний контролируемый сегмент
Комплекс средствмониторинга
Центр мониторингаЗАО «Перспективный Мониторинг»
ViPNet TIAS
SYSLOG
SYSLOG
Межсетевой экран
Сервер ViPNet IDS HS
• Обеспечение непрерывного процесса мони-торинга угроз информационной безопасно-сти и обнаружения компьютерных атак.
• Выявление угроз в реальном времени с рекомендацией по их оперативному устранению.
• Поддержка процесса проведения расследований по инцидентам и помощь в принятии решения специалистам по информационной безопасности.
• Извлечение полезных уроков из инцидентов и предотвращение их повторения с помощью накопленных знаний об инцидентах.
• Предоставление сводных отчетов по обнаруженным угрозам и инцидентам.
• Передача сведений об инцидентах в ГосСОПКА.
ЗАО «Перспективный мониторинг» входит в группу компаний ИнфоТеКС. Основной деятельностью компании являются
исследования безопасности информационных систем и программных продуктов, мониторинг и предотвращение компьютерных
атак и расследование инцидентов информационной безопасности.
Сокращение среднего времени обнаружения инцидента с 30 до 2 минут по сравнению с ручным анализом событий квалифицированным специалистом.
Снижение затрат на эксплуатацию системы обнаружения вторжений за счёт сокращения нагрузки на персонал, обслуживающий систему, и снижения требований к их квалификации.
Повышение эффективности реагирования на угрозы информационной безопасности благодаря автоматически формируемым рекомендациям и автоматическому сбору связанных с инцидентом событий.
Возможность предоставления дополнительных сервисов, в том числе, углубленного проведения расследования инцидентов информационной безопасности высококвалифицированными аналитиками компании «Перспективный мониторинг».
1
2
3
4
СХЕМА РАЗВЕРТЫВАНИЯ РЕШЕНИЯ
РЕШАЕМЫЕ ЗАДАЧИ ПРЕИМУЩЕСТВА РЕШЕНИЯ
*
*
Сенсоры систем обнаружения вторжений на основе анализа трафика в сети и событий на конечных устройствах регистрируют события информационной безопасности и отправляют информацию о них в ViPNet TIAS.
ViPNet TIAS агрегирует информацию о событиях с сенсоров, нормализует и сохраняет их в БД.
ViPNet TIAS с помощью метаправил и обученной математической модели принятия решений анализирует весь поток входящих событий и выявляет действительно значимые угрозы, с большой долей вероятности являющиеся инцидентами информационной безопасности.
При обнаружении подозрений на инцидент ViPNet TIAS:
• регистрирует данный факт в виде карточки инцидента;
• определяет все связанные с инцидентом события и привязывает их к карточке инцидента;
• оповещает о факте подозрения на инцидент заинтересованных лиц по электронной почте;
• предоставляет инструменты и средства для проведения расследования по инциденту.
Специалист по ИБ расследует выявленные системой инциденты.
Специалист по ИБ принимает решение о подтверждении инцидента или о факте ложного срабатывания.
После подтверждения информация об инциденте передается во внешние системы.
Специалист по ИБ проводит мероприятия по устранению последствий инцидента и предотвращению угроз, связанных с инцидентом, согласно рекомендациям, предоставленным в карточке инцидента.
ОСНОВНОЙ СЦЕНАРИЙ РАБОТЫ РЕШЕНИЯ
1
3
4
2
Оповещение об инцидентах
ViPNet IDS NS
ViPNet IDS NS
. . .
. . .Сервер
ViPNet IDS HS
АгентыViPNet IDS HS
Сервер ViPNet IDS HS
ViPNet TIAS
Заинтересованные лица
АгентыViPNet IDS HS
Веб-интерфейс E-mailВнешние системы
56
7
8
ViPNet IDS NS — это программно-аппаратный комплекс являющийся средством обнаружения сетевых атак и вредоносного ПО в сетевом трафике.
ПАК ViPNet IDS NS устанавливается на границе сети с целью повышения уровня защищенности ИС, ЦОД, серверов и коммуникационного оборудования, АРМ пользователей.
ViPNet IDS NS выполняет следующие основные функции:
ОПИСАНИЕ ФУНКЦИЙ КОМПОНЕНТОВ РЕШЕНИЯ
ViPNet IDS NS
• Выполняет автоматическое обнаружение угроз безопасности на основе динамического анализа сетевого трафика, начиная с канального и заканчивая прикладным уровнем модели взаимодействия открытых систем (OSI).
• Оповещает администратора о событиях, свидетельствующих о наличии атак, выявленных в результате анализа сетевого трафика, а также об обнаружении вредоносного ПО, передаваемого в сетевом трафике.
• Ведет журнал регистрации обнаруженных угроз безопасности для последующего анализа.
В том числе, отображает географическое местоположение атакующего и атакуемого узлов по их IP-адресу с точностью до страны и города.
• Позволяет устанавливать обновления баз правил и сигнатур вредоносного ПО, предоставляемых производителем.
• Позволяет добавлять собственные пользовательские правила для анализа сетевого трафика.
• Позволяет производить настройку сигнатурных правил обнаружения атак.
ViPNet IDS HS
ViPNet IDS HS — это программный комплекс, который предназначен для обнаружения вторже-ний на узле на основе сигнатурного и эвристиче-ского методов анализа информации.
ViPNet IDS HS используется для повышения уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и коммуникационного оборудования.
ViPNet IDS HS позволяет обнаружить сетевые атаки (DoS- и DDoS-атаки, работу троянских про-грамм и другие) и атаки уровня узла (установку и запуск вредоносного программного обеспечения, компрометацию учетных записей пользователей, наличие вредоносных файлов на узле и другие).
ViPNet IDS HS выполняет следующие основные функции:
• Производит автоматическое обнаружение компьютерных атак в сетевом трафике и локальных атак на уровне контролируемого узла.
• Оповещает администратора о событиях, свидетельствующих о наличии атак, выявленных в результате анализа сетевого трафика и поведения контролируемых узлов.
• Отображает список обнаруженных событий в журнале событий и атак ViPNet IDS HS в режиме реального времени.
• Производит поиск событий в соответствии с заданными фильтрами.
• Позволяет администратору производить настройки для обеспечения оптимальной работы ViPNet IDS HS по выявлению атак.
• Обновляет базу решающих правил обнаружения вторжений на узле.
• Настраивает и добавляет правила для анализа поведения контролируемых узлов и сетевого трафика.
• Управление конфигурацией правил обнаружения атак сенсоров.
• Управление политиками обнаружения событий на ViPNet IDS HS.
• Обновление баз решающих правил на сенсорах.
• Обновление базы сигнатур вредоносного ПО.
• Обновление программного обеспечение сенсоров.
• Управление структурой сенсоров.
• Мониторинг работоспособности сенсоров.
ViPNet TIAS — это программно-аппаратный комплекс, предназначенный для анализа событий информационной безопасности, зарегистриро-ванных сенсорами систем обнаружения втор-жений, автоматического выявления инцидентов информационной безопасности на основании потока этих событий и проведения расследова-ний по выявленным инцидентам.
Для выявления инцидентов в ViPNet TIAS используются два метода:
ViPNet IDS MC — это система централи-зованного управления и мониторинга состо-яния сенсоров. Предоставляет возможность управлять всеми компонентами решения.
ViPNet IDS MC выполняет следующие основные функции:
ViPNet TIAS
Метод, основанный на использовании базы правил обнаружения инцидентов (сигнатурный метод анализа).
Метод машинного обучения математической модели принятия решений.
ViPNet IDS MC
ViPNet TIAS выполняет следующие функции:
• Выполняет сбор событий из сенсоров систем обнаружения вторжений.
• Анализирует поступающие события и выявляет инциденты.
• Оповещает заинтересованные лица о событиях и инцидентах через веб-интерфейс и по электронной почте.
• Предоставляет графический интерфейс для анализа при расследовании инцидентов.
• Предоставляет инструменты для самостоятельного анализа событий и выявления угроз информационной безопасности.
• Позволяет передавать информацию об инцидентах во внешние системы.
• Позволяет формировать сводные отчеты по событиям и инцидентам.
ИНЦ.0 Разработка политики реагирования на компьютерные инциденты
Политики реагирования на компьютерные инциденты разрабатываются экспертами компании «Перспективный мониторинг» на основе анализа актуальных данных об угрозах, уязвимостях, инструментов и техник проведения атак. В ViPNet TIAS происходит выявление инцидентов и даются рекомендации по реагированию на них
ИНЦ.1 Выявление компьютерных инцидентов
Реализовано в ViPNet TIAS. Инциденты выявляются авто-матически с помощью правил обнаружения инцидентов и математической модели принятия решений. Инциден-ты однозначно идентифицируются и регистрируются в системе
ИНЦ.2 Информирование о компьютерных инцидентах
Реализовано в ViPNet TIAS настройкой оповещения заинтересованных лиц о произошедших инцидентах по e-mail, либо передачей информации об инциденте во внешние системы. Есть возможность настройки инфор-мирования в зависимости от критичности инцидента, его статуса а также контролируемого сегмента
ИНЦ.3 Анализ компьютерных инцидентов ViPNet TIAS позволяет проводить глубокий анализ компьютерных инцидентов с возможностью поиска и фильтрации данных в событиях, связанных с инцидентом, а также предоставляя образцы исходного трафика и опи-сания правил выявления событий безопасности
ИНЦ.4 Устранение последствий компьютерных инцидентов
Карточка инцидента в ViPNet TIAS содержит информа-цию о пострадавших в результате компьютерного инци-дента активах, а также рекомендации по устранению его последствий
ИНЦ. 5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов
ViPNet TIAS позволяет создавать сводные отчеты по угро-зам и инцидентам, на основании которых могут планиро-ваться мероприятия, направленные на предотвращение повторного возникновения инцидентов
ИНЦ. 6 Хранение и защита информации о компьютерных инцидентах
ViPNet TIAS обеспечивает хранение информации об ин-цидентах и связанных с инцидентом событиях в течение трех лет. Реализованы все функции защиты информации, предъявляемые к системам обнаружения вторжений
СОВ.0 Разработка политики предотвращения вторжений (компьютерных атак)
Политики предотвращения вторжений разрабатываются компанией «Перспективный мониторинг» и поставляются в решение в виде баз решающих правил для сенсоров и экспертных данных для ViPNet TIAS. В ViPNet IDS NS и ViPNet IDS HS есть возможность создания собственных (пользовательских) правил и политик
СОВ.1 Обнаружение и предотвращение компьютерных атак
Все требования ФСТЭК к СОВ и ФСБ к СОА сетевого уровня и уровня узла выполняются ViPNet IDS NS и ViPNet IDS HS и подтверждаются сертификатами ФСТЭК и ФСБ
СОВ.2 Обновление базы решающих правил
Выполняется процедура выпуска и автоматического централизованного обновления БРП для всех компонентов решения с помощью ViPNet IDS MC
VII. ПРЕДОТВРАЩЕНИЕ ВТОРЖЕНИЙ (КОМПЬЮТЕРНЫХ АТАК) (СОВ)
XII. РЕАГИРОВАНИЕ НА КОМПЬЮТЕРНЫЕ ИНЦИДЕНТЫ (ИНЦ)
МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ДЛЯ ЗНАЧИМОГО ОБЪЕКТА КИИ, реализуемые с помощью решения (Приложение к Требованиям по обеспечению безопасности значимых объектов КИИ Российской Федерации, утвержденное приказом ФСТЭК России от 25 декабря 2017 г. N 239)
№ ФУНКЦИЯ СПОСОБ РЕАЛИЗАЦИИ
1. Сбор данных о событиях безопасности
ViPNet TIAS собирает события информационной безопасности со всех сенсоров сетевого уровня и уровня узла. В процессе сбора выполняется парсинг (разбор) поступивших записей о событиях и сохранение их в базу данных.
2.Сигнатурный анализ событий
Специалисты компании «Перспективный Мониторинг» непрерывно анализируют новые угрозы ИБ и разрабатывают новые или корректируют существующие пра-вила выявления компьютерных атак, которые издаются и распространяются на все компоненты решения в виде баз решающих правил, сигнатур вредоносного ПО для сенсоров и метаправил выявления инцидентов для TIAS.
3.Корреляционный анализ событий
ViPNet TIAS анализирует поступающие события с целью выявления инцидентов информационной безопасности. События анализируются в соответствии с разрабатываемыми правилами корреляции — закономерностями событий ИБ, приводящих к возникновению инцидента.
4. Автоматическое выявление инцидентов
Решение автоматически выявляет инциденты на основе правил корреляции и алгоритмов математического обучения. Предположение о возникновении инцидента информационной безопасности формируется на основе анализа поступающих событий ИБ. Использование интеллектуальной модели анализа событий, связанных с вредоносным трафиком, автоматизирует принятие решения по событиям в режиме реального времени. Благодаря этому похожая последовательность событий будет идентифицироваться как инцидент даже без написания правил корреляции и загрузки сигнатур вредоносного ПО.
5. Обновление правил выявления инцидентов
ViPNet IDS MC предоставляет возможность автоматического скачивания и распространения на компоненты решения баз решающих правил и метаправил выявления инцидентов
6.Визуализация данных о событиях и инцидентах
Способы визуализации данных в решении — списки, графики и диаграммы, временные шкалы, таблицы. Реализованы функции полноценного поиска по всем атрибутам инцидентов и событий, в т.ч. с использованием регулярных выражений.
7. Приоритезация инцидентов и событий
Всем поступающим событиям присваивается степень критичности, по которой они ранжируются. Инцидентам дополнительно к критичности присваивается рейтинг. Благодаря такому подходу оператор может в первую очередь отреагировать на наиболее важные и критичные инциденты и принять меры противодействия.
8. Оповещение о событиях и инцидентах
Информирование о событиях и инцидентах ИБ осуществляется с помощью отображения соответствующей информации в веб-интерфейсе решения, а также по электронной почте. При необходимости выполняется отправка информации об инциденте во внешние системы в стандартизированных форматах (например, в формате JSON, в формате CEF по syslog).
9.Хранение записей о событиях и инцидентах
Централизованное хранение записей о событиях и инцидентах в TIAS: хранение всех записей о событиях до 45 дней, хранение записей об инцидентах, включая связанные с инцидентом события, до 3 лет.
10. Защита инфор-мации о событиях безопасности
Для доступа к веб-интерфейсу компонентов решения применяется шифрованный протокол HTTPS. Реализованы функции аутентификации, авторизации и ролевого доступа во всех компонентах решения.
Решение ViPNet по обнаружению и предотвращению компьютерных атак позволяет выполнять все необходимые функции для осуществления мониторинга угроз информационной безопасности, а также сбора и анализа событий, требуемых регуляторами от систем подобного класса.
infotecs.ru/f20
ОАО «ИнфоТеКС», 127287, Москва, Старый Петровско-Разумовский проезд, 1/23, стр. 1
+7 495 737-6192, 8 800 250-0-260 (бесплатный звонок по России)
+7 495 737- 7278
[email protected], [email protected]
www.infotecs.ru
Содержимое документа носит исключительно информационный характер и не яв-ляется публичной офертой. Для получения подробной информации об указанных в документе продуктах и услугах Вы можете обратиться в ОАО «ИнфоТеКС». Все изображения являются лишь иллюстрациями. Все технические характеристики, внешний вид и комплектность описываемой продукции могут меняться без пред-варительного уведомления. Символы ™ или ® в документе не используются, од-нако, если не указано иного, все товарные знаки в данном документе защищены соответствующим правом, которое принадлежит их владельцам.
Ваше впечатление от листовки:
